共用方式為


在 Android 上使用 Microsoft Intune 部署適用於端點的 Microsoft Defender

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

瞭解如何將適用於端點的Defender部署在已註冊 Microsoft Intune 公司入口網站裝置上。 如需 Microsoft Intune 裝置註冊的詳細資訊,請參閱註冊您的裝置

注意事項

適用於 Android 上的適用於端點的 Defender 現在可在 Google Play 上使用

您可以從 Microsoft Intune 連線到 Google Play,以跨裝置系統管理員和 Android Enterprise 註冊模式部署適用於端點的 Defender 應用程式。 匯報 透過Google Play自動存取應用程式。

在裝置系統管理員註冊的裝置上部署

瞭解如何使用裝置系統管理員註冊裝置的 Microsoft Intune 公司入口網站,在Android上部署適用於端點的Defender。

新增為 Android 市集應用程式

  1. Microsoft Intune 系統管理中心,移至 [應用程式>] [Android 應用程式>] [新增>Android 市集應用程式]。 然後選擇 [選取]

    Microsoft Intune 系統管理中心入口網站中的 [新增 Android 市集應用程式] 窗格

  2. 在 [ 新增應用程式] 頁面的 [ 應用程式資訊 ] 區段中,指定下列詳細數據:

    • 名稱
    • 描述
    • 發行 者為Microsoft。
    • Google Play 商店中適用於端點的 Defender 應用程式的應用程式市集 URLhttps://play.google.com/store/apps/details?id=com.microsoft.scmx (URL)

    其他欄位是選擇性的。 然後選取 [下一步]

    在 Microsoft Intune 系統管理中心入口網站中顯示應用程式發行者和 URL 資訊的 [新增應用程式] 頁面

  3. 在 [ 指派] 區 段中,移至 [ 必要] 區段,然後選取 [ 新增群組]。 然後,您可以選擇使用者群組 (或群組,) 在 Android 應用程式上接收適用於端點的 Defender。 選擇 [選取],然後點選 [ 下一步]

    選取的使用者群組應由 Intune 註冊的用戶組成。

    此螢幕快照顯示 Microsoft Intune 系統管理中心入口網站中 [新增應用程式] 頁面中的 [新增群組] 窗格。

  4. 在 [ 檢閱+建立] 區段中,確認輸入的所有資訊都正確無誤,然後選取 [ 建立]

    在幾分鐘內,應該會建立適用於端點的 Defender 應用程式,而通知應該會出現在畫面右上角。

    Microsoft Intune 系統管理中心入口網站中的應用程式狀態窗格

  5. 在顯示的應用程式資訊頁面中,於 [ 監視] 區段中選取 [ 裝置安裝狀態 ],以確認裝置安裝已順利完成。

    Microsoft Defender 入口網站中的 [裝置安裝狀態] 頁面

完成上線並檢查狀態

  1. 在裝置上安裝適用於端點的 Defender 之後,您應該會看到應用程式圖示。

    [搜尋] 窗格中所列的 Microsoft Defender ATP 圖示

  2. 點選 適用於端點的 Microsoft Defender 應用程式圖示,並遵循畫面上的指示完成上線。 詳細數據包括使用者接受 Android 上適用於端點的 Defender 所需的 Android 許可權。

  3. 成功上線時,裝置會顯示在 Microsoft Defender 入口網站的裝置清單中。

    適用於端點的 Microsoft Defender 入口網站中的裝置

在Android Enterprise 註冊的裝置上部署

Android 上適用於端點的 Defender 支援已註冊 Android Enterprise 的裝置。

如需 Microsoft Intune 所支援註冊選項的詳細資訊,請參閱註冊選項

Android Enterprise 目前支援具有工作配置檔的個人擁有裝置、具有工作配置檔的公司擁有裝置,以及公司擁有且完全受控的使用者裝置註冊。

在 Android 上將 適用於端點的 Microsoft Defender 新增為受控 Google Play 應用程式

請遵循下列步驟,將 適用於端點的 Microsoft Defender 應用程式新增至受控Google Play 商店。

  1. 系統管理中心 Microsoft Intune,移至 [應用程式>Android 應用程式>新增],然後選取 [受控Google Play 應用程式]

    顯示 Microsoft Intune 系統管理中心入口網站中應用程式新增窗格的螢幕快照

  2. 在載入的受控 Google Play 頁面上,移至搜尋方塊,然後輸入 Microsoft Defender。 您的搜尋應該會在受控 Google Play 商店中顯示 適用於端點的 Microsoft Defender 應用程式。 從搜尋結果清單中選取 適用於端點的 Microsoft Defender 應用程式。

    Microsoft Intune 系統管理中心入口網站中的受控Google Play頁面

  3. [應用程式描述 ] 頁面中,您應該能夠看到適用於端點的 Defender 應用程式的應用程式詳細數據。 檢閱頁面上的信息,然後選取 [ 核准]

    Microsoft Intune 系統管理中心入口網站中受控Google Play的頁面

  4. 當系統提示您核准適用於端點的 Defender 取得的許可權時,請檢閱資訊,然後選取 [ 核准]

    Microsoft Defender 入口網站中的許可權核准頁面

  5. 在 [ 核准設定] 頁面上,檢閱您的喜好設定,以處理適用於Android上適用於端點的Defender可能會要求的新應用程式許可權。 檢閱選項,然後選取您慣用的選項。 然後,選取 [ 完成]

    根據預設,受控 Google Play 會在 應用程式要求新許可權時選取 [保持核准]

    Microsoft Defender 入口網站中的核准設定組態完成頁面

  6. 進行許可權處理選取之後,請選取 [同步處理] 以將 適用於端點的 Microsoft Defender 同步至您的應用程式清單。

    Microsoft Defender 入口網站中的 [同步] 窗格

    同步處理會在幾分鐘內完成。

    Microsoft Defender 入口網站中 [Android 應用程式] 頁面中的應用程式同步狀態窗格

  7. 在 [Android 應用程式] 畫面中選取 [ 重新整理 ] 按鈕。 適用於端點的 Microsoft Defender 應該會顯示在應用程式清單中。

    顯示已同步應用程式的頁面

  8. 適用於端點的Defender支援使用 Microsoft Intune管理裝置的應用程式設定原則。 此功能可用來選取適用於端點的Defender的不同設定。

    1. 在 [ 應用程式] 頁面中,移至 [ 原則>應用程式設定原則>] [新增>受控裝置]

      Microsoft Intune 系統管理中心入口網站中的 [應用程式設定原則] 窗格

    2. 在 [ 建立應用程式設定原則 ] 頁面中,指定下列詳細數據:

      • 名稱:適用於端點的 Microsoft Defender

      • 選擇 [Android Enterprise ] 作為平臺。

      • 選擇 [僅限個人擁有的工作配置檔 ] 或 [ 完全受控]、[專用] 和 [公司擁有的工作配置檔] 作為 [配置檔類型]。

      • 取 [選取應用程式],選擇 [Microsoft Defender],選取 [確定],然後選取 [下一步]

         [相關聯應用程式詳細數據] 窗格的螢幕快照。

    3. 選取 [權限]>[新增]。 從清單中,選取可用的應用程式權限 >[確定]

    4. 針對要使用此原則授與的每個權限選取一個選項:

      • 提示 - 提示 使用者接受或拒絕。
      • 自動授與 - 自動核准而不通知使用者。
      • 自動拒絕 - 自動拒絕而不通知使用者。
    5. 移至 [ 組態設定] 區 段,然後選擇 [ 使用設定設計工具]

      android 建立應用程式設定原則的影像。

    6. 選取 [新增 ] 以檢視支援的組態清單。 選取必要的設定,然後選取 [ 確定]

      選取 android 設定原則的影像。

    7. 您應該會看到列出所有選取的組態。 您可以視需要變更組態值,然後選取 [ 下一步]

      所選設定原則的影像。

    8. 在 [ 指派] 頁面中,選取要指派此應用程式設定原則的使用者群組。 選 取 [選取要包含的群組]、選取群組,然後選取 [ 下一步]。 此處選取的群組通常是您要指派 適用於端點的 Microsoft Defender Android 應用程式的相同群組。

      [選取的群組] 窗格

    9. 在接下來出現的 [ 檢閱 + 建立] 頁面中,檢閱所有資訊,然後選取 [ 建立]

      適用於端點的Defender應用程式設定原則現在會指派給選取的使用者群組。

  9. 在 [屬性>指>編輯] 列表>中選取 [Microsoft Defender 應用程式]

    [屬性] 頁面上的 [編輯] 選項

  10. 將應用程式指派為使用者群組的必要應用程式。 在裝置的下一次同步處理期間,它會透過 公司入口網站 應用程式自動安裝在工作配置檔中。 流覽至 [ 必要] 區段,選取 [ 新增群組],選取適當的使用者群組,然後選擇 [ 選取]

    [編輯應用程式] 頁面

  11. 在 [ 編輯應用程式] 頁面中,檢閱先前指定的所有資訊。 選 取 [檢閱 + 儲存],然後選取 [ 儲存 ] 以開始指派。

自動設定 Always-On VPN

適用於端點的Defender支援受控裝置的裝置設定原則,Microsoft Intune。 這項功能可讓您在已註冊 Android Enterprise 的裝置上使用 Always-On VPN 的自動設定,因此終端使用者不需要在上線時設定 VPN 服務。

  1. [裝置] 上,選取 [ 組態配置檔>] [建立配置文件>平臺>Android Enterprise]。 根據您的裝置註冊類型,選取下列其中一項下的 [裝置 限制 ]:

    • 完全受控、專用和 Corporate-Owned 工作配置檔
    • 個人擁有的工作配置檔

    然後,選取 [ 建立]

    [原則] 窗格中的 [組態配置檔] 功能表項

  2. 組態設定。 提供 [名稱 ] 和 [ 描述 ],以唯一識別組態配置檔。

    [基本] 窗格中的 [裝置組態配置檔名稱] 和 [描述] 字段

  3. 選取 [連線],然後設定您的 VPN。

    1. 啟用 Always-on VPN。 在工作配置檔中設定 VPN 用戶端,以盡可能自動連線並重新連線至 VPN。 在指定的裝置上,只有一個 VPN 用戶端可以設定為一律開啟 VPN,因此請務必將一個以上的一律開啟 VPN 原則部署到單一裝置。

    2. VPN 用戶端 清單中,選取 [ 自定義]。 在此情況下,自定義 VPN 是適用於端點的 Defender VPN,可提供 Web 保護。

      注意事項

      適用於端點的 Microsoft Defender 應用程式必須安裝在使用者的裝置上,才能進行自動 VPN 安裝。

    3. 指定Google Play商店中 適用於端點的 Microsoft Defender 應用程式的套件識別碼。 針對 Microsoft Defender 應用程式 URL,套件識別碼為 com.microsoft.scmx

    4. [鎖定模式 ] 設定為 [ 未設定 (預設)

      [組態設定] 索引標籤下的 [連線能力] 窗格

  4. 工作分派。 在 [ 指派] 頁面上,選取要指派此應用程式設定原則的使用者群組。 選擇 [選取 要包含的群組],選取適用的群組,然後選取 [ 下一步]

    要選取的群組通常是您要指派 適用於端點的 Microsoft Defender Android 應用程式的相同群組。

    裝置設定設定檔 [裝置限制] 中 [指派] 窗格的螢幕快照。

  5. 在接下來出現的 [ 檢閱 + 建立] 頁面中,檢閱所有資訊,然後選取 [ 建立]。 裝置組態配置檔現在已指派給選取的使用者群組。

    檢閱 + 建立的裝置組態配置檔布建

檢查狀態並完成上線

  1. 點選 [裝置安裝狀態],確認Android上 適用於端點的 Microsoft Defender的安裝狀態。 確認裝置顯示於此處。

    裝置安裝狀態窗格

  2. 在裝置上,您可以移至工作配置檔來驗證上線狀態。 確認適用於端點的 Defender 可供使用,且您已使用 個人擁有的裝置搭配工作配置檔進行註冊。 如果您是使用 公司擁有且完全受控的使用者裝置註冊,則裝置上會有單一配置檔,您可以在其中確認適用於端點的 Defender 可供使用。

    應用程式顯示窗格

  3. 安裝應用程式時,開啟應用程式,然後接受許可權。 上線應該會成功完成。

    在行動裝置上顯示 適用於端點的 Microsoft Defender 應用程式

  4. 確認 Microsoft Defender 入口網站中的上線狀態。 流覽至 [裝置清查 ] 頁面。

    適用於端點的 Microsoft Defender 入口網站

設定低觸控上線

注意事項

Android 低觸控上線現在已正式運作。

系統管理員可以在低觸控式上線模式中設定 適用於端點的 Microsoft Defender。 在此案例中,系統管理員會建立部署配置檔,而且用戶必須提供一組減少的許可權,才能完成上線。 預設會停用Android低觸控上線。 系統管理員可以依照下列步驟,在 Intune 上透過應用程式設定原則加以啟用:

  1. 依照本文) 將 Android 上的 適用於端點的 Microsoft Defender 新增為受控 Google Play 應用程式一節中的步驟,將 Microsoft Defender (應用程式推送至目標使用者群組。

  2. 依照本文中的自動 設定 Always-on VPN (一節中的指示,將 VPN 配置檔推送至使用者的裝置) 。

  3. [應用程式>應用程式設定原則] 中,選取 [ 受控裝置]

  4. 提供名稱以唯一識別原則。

    • 針對 [平臺],選取 Android Enterprise
    • 選取必要的配置檔類型。
    • 針對目標應用程式,選取 Microsoft Defender: Antivirus

    然後選取 [下一步]

  5. 新增運行時間許可權。 選 取 [位置存取 () ] POST_NOTIFICATIONS ,然後將 [ 許可權] 狀態 變更為 Auto grant。 (Android 13 和更新版本不支援此許可權。)

  6. 在 [ 組態設定] 底下,選取 Use Configuration designer,然後選取 [ 新增]

  7. 選取 [低觸控上線] 和 [使用者 UPN]。 針對[使用者 UPN],將值類型變更為 Variable,並將組態值設定為 User Principal Name。 將其組態值 1變更為 ,以啟用低觸控上線。

    建立原則之後,這些實值類型會顯示為字串值。

  8. 將原則指派給目標使用者群組。

  9. 檢閱並建立原則。

在 BYOD 模式的 Android Enterprise 上,於個人配置檔中設定 Microsoft Defender

在個人配置檔中設定 Microsoft Defender

系統管理員可以依照下列步驟,使用 Microsoft Intune 系統管理中心在個人配置檔中設定 Microsoft Defender 支援:

  1. 移至 [應用程式>應用程式設定原則],然後選取 [ 新增]。 選 取 [受控裝置]

    • 指定名稱和描述,以唯一識別設定原則。
    • 針對 [平臺],選取 [平臺] 作為 [Android Enterprise]
    • 針對 [配置檔類型],選取 [ 僅限個人擁有的工作配置檔]
    • 針對 [目標應用程式],選取 [Microsoft Defender]
  2. 在 [設定] 頁面上,以 [組態 設定格式] 選取 [ 使用組態設計工具],然後選取 [ 新增]。 從顯示的組態清單中,選取 [個人配置檔] 中的 [Microsoft Defender]

  3. 已列出選取的組態。 將組態值變更為 1 ,以啟用 Microsoft Defender 支援個人配置檔。 通知隨即出現,以通知系統管理員。 選取 [下一步]

  4. 將設定原則指派給一組使用者。 檢閱並建立原則。

系統管理員也可以在 Microsoft Intune 系統管理中心設定隱私權控制,以控制 Microsoft Defender 應用程式傳送至 Microsoft Defender 入口網站的數據。 如需詳細資訊,請 參閱設定隱私權控制

組織可以透過在其註冊的 BYOD 裝置上使用 Microsoft Defender 應用程式,與其使用者通訊以保護其個人配置檔。 Microsoft Defender 應用程式必須安裝並啟用,並使用其工作配置檔,才能在個人配置檔中啟用 Microsoft Defender。

完成裝置上線

  1. 使用個人 Google Play 商店帳戶,在個人設定檔中安裝 Microsoft Defender 應用程式。

  2. 在個人配置檔上安裝公司入口網站應用程式。 不需要登入。

  3. 當使用者啟動應用程式時,他們會看到登入畫面。 僅使用公司帳戶登入

  4. 成功登入之後,使用者會看到下列畫面:

    • EULA 畫面:只有在使用者尚未在其工作配置檔中同意時才會顯示。
    • 注意畫面:用戶必須在此畫面上提供同意,才能繼續將應用程式上線。 只有在第一次執行應用程式時,才需要這麼做。
  5. 提供完成上線所需的許可權。

    注意事項

    必要條件

    1. 公司入口網站必須在個人配置檔上啟用。
    2. Microsoft Defender 必須在工作配置檔中安裝並啟用。

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。